連載第2回目のお題は「情報漏えい対策」。もはや日常茶飯事となった企業による情報漏えい事件。一度漏えいしてしまうと大変なことになる―原因究明から、今後の対策、顧客への賠償、企業の信頼回復まで膨大なコストがかかる―といわれています。一方で、情報漏えいを防ぐための対策コストはどうでしょうか。ソリューションを導入したり、Pマークを取得したり、コンサルタントに入ってもらったり…予防的対策だって十分コストがかかるし、大変なことになっているぞとの声もちらほら。漏れる前の対策と漏れた後の対策、トレードオフは可能なのでしょうか。
付加価値の高い「複合データ」が悪用されている
企業の情報漏えい事件ですが、同じ漏えいでも大々的に報道されたり、ほとんど取り上げられなかったりするケースがあるのはなぜなんでしょうね?
それはあなたたちメディアの問題でしょう、なぜ僕に聞くんですか(笑)。
そうでした。一ヵ月ほど前に起きたUFJ証券漏えい事件は、割と大々的に報道されていたようです。
情報漏えい事件の報道が相次いでいた数年前に、新聞記者から「100万人くらい超えないとニュースにならない」と聞かされました。
確かに、一般の読者から見れば最近のニュースよりも少ない件数だとインパクトがない、というのも仕方がないでしょうね。
被害件数が一つの指標になっているということでしょうか。
今回の場合は、金融機関だけに今のような経済状況だと注目を浴びやすい、ということもあるでしょう。あと「実際の被害が出ている」ということも大きく取り上げられた要因になっていると考えられます。
これまでは個人情報の漏えいがあっても、直接の被害があまり報じられることがなかったんですね。「個人情報の漏えいがあっても損害賠償はひとり500円が相場じゃないか」なんていわれたりして。
今回の場合、不動産などの勧誘の電話でノイローゼになったとか、実際の被害が報告されています。そして、改めてわかったことは「個人情報が金銭で売買されて、それが商品勧誘などの目的で使われている」ということ。
名簿が流通して、悪用されている実態がしっかりわかったということですね。確かに、ただ単にスパムメールが届くくらいでは「私の情報が漏れて悪用されている!」という実感はわかないですよね。
名簿データの特徴として、電子データになっているものは、他のデータと連結させることによって、より付加価値が向上するんです。
例えば、既に家族構成などの情報があったとして、今回の資産情報が持ち込まれた場合、そして、その資産が高齢者であったとすると、遺産相続関連のビジネスに有益な情報となる。
さらに、「振り込め詐欺」などの犯罪にもとても有用な情報となってしまう。例えば、家族構成から息子の振りをして振込みを誘うなどの手口に十分に使える。
実際に振り込め詐欺に利用されたという事例は報告されていたりするんですか。
身近な例をあげますと、私の親に「振り込め詐欺」の電話がかかってきたことがあったんです。そのときのシナリオは「孫娘がスーパーで高額商品を壊したので弁償を要求する店員」というものでした。その際、親の職業についても会話に織り込んでいたようです。
なるほど。単純なデータに基づいたものではなく、家族構成と職業情報を組み合わせたものであることが推測されるというわけですね。
そう。つまり、複数のデータベースを複数の業者が協力し合い、連結させて、新たなデータベースを作ることが出来るわけです。
そうすると、単体のデータではそれほどの価値を持たないものでも、組み合わせることによって思いがけない使い道を見出すことができてしまう場合がある。しかも一度漏れた情報は「回収する」ことは不可能で、コピーされて永遠に利用、あるいは悪用されてしまう。
一つの情報が様々な犯罪に利用されてしまう可能性がある、と。
昨今の振り込め詐欺の被害額から考えると、とても大きなデータベースが既に存在していて、日々メンテナンスと増大を続けていることが想像できます。そして家族のフリをするために、家族しか知りえない情報を会話に織り交ぜる。よくある手法です。
この記事は参考になりましたか?
- 教えて三輪先生!編集部小泉が訊く「いまさら聞けない」あなたのためのセキュリティ講座連載記事一覧
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
-
三輪 信雄(ミワ ノブオ)
日本の情報セキュリティビジネスの先駆けとして事業を開始し、以降情報セキュリティ業界をリードしてきた。ITセキュリティだけでなく物理セキュリティについても知見があり、技術者から経営者目線まで広い視野を持つ。政府系委員も数多くこなし、各種表彰、著書・講演も多数。2009年から総務省CIO補佐官を務める。
S&J株式会社 代表取締役※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア